{"id":6274,"date":"2022-08-30T09:33:40","date_gmt":"2022-08-30T07:33:40","guid":{"rendered":"https:\/\/www.paradine.at\/unkategorisiert\/cve-2021-45105-mehrere-eptos-releases-sicherheitshinweis-apache-log4j2-2-17-schuetzte-nicht-vor-unkontrollierter-rekursion-durch-selbstreferenzielle-lookups\/"},"modified":"2022-08-30T09:33:40","modified_gmt":"2022-08-30T07:33:40","slug":"cve-2021-45105-mehrere-eptos-releases-sicherheitshinweis-apache-log4j2-2-17-schuetzte-nicht-vor-unkontrollierter-rekursion-durch-selbstreferenzielle-lookups","status":"publish","type":"post","link":"https:\/\/www.paradine.at\/de\/eptos-de\/cve-2021-45105-mehrere-eptos-releases-sicherheitshinweis-apache-log4j2-2-17-schuetzte-nicht-vor-unkontrollierter-rekursion-durch-selbstreferenzielle-lookups\/","title":{"rendered":"CVE-2021-45105 Mehrere eptos™ Releases – Sicherheitshinweis – Apache Log4j2 <=2.17 sch\u00fctzte nicht vor unkontrollierter Rekursion durch selbstreferenzielle Lookups."},"content":{"rendered":"
\n
\n
\n

\u00dcbersicht<\/h2>\n

Die Apache Log4j2-Versionen 2.0-alpha1 bis 2.16.0 (au\u00dfer 2.12.3) sch\u00fctzten nicht vor unkontrollierter Rekursion durch selbstreferenzielle Lookups. Dies erlaubt einem Angreifer mit Kontrolle \u00fcber Thread Context Map Daten einen Denial of Service zu verursachen, wenn eine manipulierte Zeichenkette interpretiert wird. Dieses Problem wurde in Log4j 2.17.0 und 2.12.3 behoben.<\/p>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n\n\n\n<\/colgroup>\n\n\n\n\n\n\n\n\n\n\n
Zusammenfassung<\/th>\n\n
\n

CVE-2021-45105 – Apache Log4j2 <=2.17 nicht von unkontrollierten Rekursion von selbst-referentielle Lookups zu sch\u00fctzen.<\/p>\n

Log4j 1.x ist von dieser Sicherheitsl\u00fccke nicht betroffen.<\/p>\n

\n
\n

Bulletin aktualisieren bis 22.12.2021 15:00<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/td>\n<\/tr>\n

Beratung Freigabedatum<\/th>\n21. Dezember 2021<\/td>\n<\/tr>\n
Basis-CVSS-Score<\/th>\n7,5 (AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:N\/I:N\/A:H)<\/td>\n<\/tr>\n
Produkte<\/th>\n\n
\n
    \n
  • alle Eptos-Module<\/li>\n
  • eptos SearchEngine<\/li>\n<\/ul>\n<\/div>\n<\/td>\n<\/tr>\n
Betroffene Releases<\/th>\neptos-Module – 6.1<\/p>\n

eptos Search Engine 2.0 – 2.1 nur, wenn die Protokollierung von Api’s eingeschaltet ist (Standard aus).<\/td>\n<\/tr>\n

Behobene Releases<\/th>\n\n
    \n
  • eptos 6.1.1<\/li>\n
  • Suchmaschine 2.1.1<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
CVE-ID<\/th>\nCVE-202<\/a>1-45105<\/a><\/td>\n<\/tr>\n
Ausgabe-ID<\/th>\n\n
\n

BASE-1396<\/a> – Sicherheitsanf\u00e4lligkeit Log4Shell: CVE-2021-45105<\/span> BEHOBEN<\/span><\/span><\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Weitere Informationen<\/th>\nhttps:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-45105<\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

<\/h2>\n

Zusammenfassung der Anf\u00e4lligkeit<\/h2>\n

eptos core verwendet Log4j2 2.16 ab Release 6.1 und nach der Behebung von CVE-2021-44228 Mehrere eptos-Releases Sicherheitshinweis – Apache Log4j2 nicht gegen von Angreifern kontrollierte LDAP- und andere JNDI-bezogene Endpunkte gesch\u00fctzt<\/a><\/p>\n

eptos APIs verwenden spring-boot, das eine Abh\u00e4ngigkeit zu log4j-api hat, aber standardm\u00e4\u00dfig ist der log4j2-Teil nicht aktiviert(Referenz<\/a>) – beginnend mit Release 6.0, daher gibt es keine unmittelbaren Auswirkungen.<\/p>\n

Software-Fixes<\/p>\n